Active Directory 網域服務 (AD DS) 提供 AD RMS 使用者的驗證。啟用記錄時,AD RMS 叢集接收到的所有使用者帳戶要求都會記錄至記錄資料庫。
從設定資料庫刪除帳戶
從 AD DS 刪除使用者帳戶時,不會自動刪除使用者金鑰表中代表該使用者之權限帳戶憑證 (RAC) 的設定資料庫項目。因此,使用者金鑰表會不斷擴大,因為使用者金鑰不斷加進來,舊的使用者金鑰卻一直未刪除。
有兩種方法可以維護設定資料庫。第一種方法是建立和執行預存程序,以在從 AD DS 移除關聯的使用者帳戶時,利用使用者金鑰的安全性識別碼 (SID) 刪除使用者金鑰。
另一種方法是撰寫指令碼,使指令碼在使用者金鑰的關聯 SID 不再存在於 AD DS 時從設定資料庫刪除該使用者金鑰,然後定期執行該指令碼。因為此方法會在資料庫伺服器和 AD DS 上產立大量負載,所以應該排定指令碼在低活動量的時段執行。
將使用者帳戶移至另一個 AD DS 樹系
在組織內設定和規定根叢集時,每個 Active Directory 樹系只能有一個根叢集。
一般而言,當您將使用者帳戶從某個網域移至同一樹系的另一個網域時,就會在新網域中為該使用者帳戶建立新的 SID。然後,當使用者嘗試從叢集的伺服器取得新的 RAC 時,因為 SID 不同,所以該使用者會成為新的使用者。叢集會為使用者帳戶產生新的金鑰,並利用使用者的原始電子郵件地址發出新的 RAC。如果使用者嘗試將新的 RAC 搭配現有使用授權,則 SID 與金鑰會不符。使用者需要取得新的使用授權。這也適用於將使用者帳戶移至不同樹系的網域時。